DORA – als Werkzeug für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken
Der Digital Operational Resilience Act (DORA) ist eine vom Europäischen Parlament verabschiedete Verordnung, die am 16.01.2023 in Kraft getreten ist.
Das Ziel von DORA ist es, eine starke operationelle Resilienz sicherzustellen und einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen. Operative Resilienz bezieht sich in diesem Zusammenhang auf die Fähigkeit einer Organisation, die Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung, insbesondere durch Cyberangriffe und IT-Systemausfälle, zu gewährleisten.
DORA gilt für ein breites Spektrum von Finanzinstituten in der EU, darunter Banken, Wertpapierfirmen und Zahlungsdienstleister, denen eine Frist von 24 Monaten nach Inkrafttreten eingeräumt wird, um die Umsetzung der Vorgaben vorzunehmen. Der Anwendungsbereich von DORA wird auch auf andere Akteure des Finanzsektors ausgedehnt, die bisher nicht durch die regulatorischen Anforderungen in diesem Detailgrad adressiert wurden, z.B. Anbieter von Dienstleistungen rund um Krypto-Assets, Crowd Funding Plattformen und sowie IKT-Drittanbieter.
Weitere Informationen zu DORA, einschließlich des Geltungsbereichs, des Zeitrahmens zur Umsetzung, eine Beschreibung der fünf Säulen, welche den regulatorischen Schwerpunkt widerspiegeln sowie weitere wichtige Informationen sind auf der folgenden Seite zu finden:
https://www.pwc.de/en/cyber-security/dora-why-it-is-relevant-to-you.html
Die Auswirkungen von DORA auf die Institute, die in den Anwendungsbereich fallen, hängen vom aktuellen Stand ihrer operativen Resilienz ab. Institute, die die geforderten Standards bereits erfüllen, werden weniger Umsetzungsaufwand haben. Hingegen müssen betroffene Akteure des Finanzsektors, bei denen dies nicht der Fall ist, möglicherweise erhebliche Änderungen an ihren Systemen und Prozessen vornehmen. Die Umsetzung dieser Änderungen kann die Zuweisung zusätzlicher Ressourcen erfordern und einen hohen Zeitaufwand bedeuten.
DORA soll nicht nur sicherstellen, dass die Finanzinstitute über wirksame Maßnahmen zur operationellen Resilienz verfügen, sondern auch die grenzüberschreitende Koordinierung und den Informationsaustausch zwischen den nationalen Regulierungsbehörden fördern. Dies soll dazu beitragen, einen kohärenten Ansatz für die operationelle Resilienz im gesamten EU-Finanzsektor zu gewährleisten.
Zusammenfassend kann festgehalten werden, dass DORA eine wichtige Initiative ist, die darauf abzielt, die operative Resilienz der in der EU tätigen Finanzinstitute zu verbessern. Die Einhaltung der DORA-Anforderungen ist von entscheidender Bedeutung, um sicherzustellen, dass die Institute Betriebsstörungen wirksam vorbeugen und angemessen auf diese reagieren können. Institute, die in den Geltungsbereich von DORA fallen, sollten sich frühzeitig mit den Anforderungen und dem damit verbundenen Umsetzungsaufwand auseinandersetzen, um später nicht in Verzug zu geraten und sich frühzeitig gegen Cyber Angriffe und weitere Störungen strategisch zu wappnen.